导出为 JSON 格式的事件
JSON 是用于数据交换的轻量级格式。它构建于名称/值对集合和值排序列表之上。
导出的事件
此部分包含有关格式的详细信息和所有导出的事件的属性含义。事件消息使用带有某些必填和可选密钥的 JSON 对象格式。每个导出的事件都将包含以下密钥:
event_type |
字符串 |
|
导出的事件类型: |
---|---|---|---|
ipv4 |
字符串 |
可选 |
生成事件的计算机 IPv4 地址。 |
ipv6 |
字符串 |
可选 |
生成事件的计算机 IPv6 地址。 |
source_uuid |
字符串 |
|
生成事件的计算机 UUID。 |
occurred |
字符串 |
|
事件发生的 UTC 时间。格式为 %d-%b-%Y %H:%M:%S |
severity |
字符串 |
|
事件的严重级别。可能的值(从最低严重级别到最高严重级别)是:信息 通知 警告 错误 关键 致命 |
下面列出的所有事件类型以及所有严重级别都会报告给系统日志服务器。 要过滤发送到系统日志的事件日志,请使用定义的过滤器创建日志类别通知。 报告的值取决于托管计算机上安装的 ESET 安全产品(及其版本),并且 ESET PROTECT 仅报告接收的数据。因此,ESET 无法提供所有值的详尽列表。我们建议查看您的网络并基于您收到的值过滤日志。 |
依据 event_type 的自定义密钥:
Threat_Event
由托管端点生成的所有检测事件将转发至系统日志。检测事件特定密钥:
threat_type |
字符串 |
可选 |
检测类型 |
---|---|---|---|
threat_name |
字符串 |
可选 |
检测名称 |
threat_flags |
字符串 |
可选 |
与检测相关的标志 |
scanner_id |
字符串 |
可选 |
扫描程序 ID |
scan_id |
字符串 |
可选 |
扫描 ID |
engine_version |
字符串 |
可选 |
扫描引擎版本 |
object_type |
字符串 |
可选 |
与该事件相关的对象类型 |
object_uri |
字符串 |
可选 |
对象 URI |
action_taken |
字符串 |
可选 |
由端点执行的操作 |
action_error |
字符串 |
可选 |
“操作”失败时的错误消息 |
threat_handled |
布尔值 |
可选 |
指出检测是否已处理 |
need_restart |
布尔值 |
可选 |
是否需要重启 |
username |
字符串 |
可选 |
与事件关联的用户帐户的名称 |
processname |
字符串 |
可选 |
与事件关联的进程的名称 |
circumstances |
字符串 |
可选 |
造成该事件的简短说明 |
hash |
字符串 |
可选 |
(检测)数据流的 SHA1 哈希。 |
字符串 |
可选 |
在该计算机上首次找到检测的时间和日期。ESET PROTECT 为firstseen 属性(及任何其他日期-时间属性)采用不同的日期-时间属性,具体取决于日志输出格式(JSON 或 LEEF): •JSON 格式:"%d-%b-%Y %H:%M:%S" •LEEF 格式:"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
由 ESET 防火墙生成的事件日志会通过管理 ESET Management 服务器代理进行汇总,以避免在 ESET Management 服务器代理/ESET PROTECT 服务器复制期间浪费带宽。防火墙事件特定密钥:
event |
字符串 |
可选 |
事件名称 |
---|---|---|---|
source_address |
字符串 |
可选 |
事件来源地址 |
source_address_type |
字符串 |
可选 |
事件来源地址类型 |
source_port |
数字 |
可选 |
事件来源端口 |
target_address |
字符串 |
可选 |
事件目标地址 |
target_address_type |
字符串 |
可选 |
事件目标地址类型 |
target_port |
数字 |
可选 |
事件目标端口 |
protocol |
字符串 |
可选 |
协议 |
account |
字符串 |
可选 |
与事件关联的用户帐户的名称 |
process_name |
字符串 |
可选 |
与事件关联的进程的名称 |
rule_name |
字符串 |
可选 |
规则名称 |
rule_id |
字符串 |
可选 |
规则 ID |
inbound |
布尔值 |
可选 |
连接是否处于入站状态 |
threat_name |
字符串 |
可选 |
检测名称 |
aggregate_count |
数字 |
可选 |
ESET PROTECT 服务器和管理 ESET Management 服务器代理之间的两个连续副本之间的端点生成了多少条完全相同的消息 |
action |
字符串 |
可选 |
已采取操作 |
handled |
字符串 |
可选 |
指出检测是否已处理 |
FirewallAggregated_Event 日志示例:
HIPSAggregated_Event
基于主机的入侵防护系统的事件按严重级别过滤,之后作为系统日志记录消息继续发送。仅将带有严重级别错误、严重和致命的事件发送至系统日志。HIPS 特定属性如下所述:
application |
字符串 |
可选 |
应用程序名称 |
---|---|---|---|
operation |
字符串 |
可选 |
操作 |
target |
字符串 |
可选 |
目标 |
action |
字符串 |
可选 |
已采取操作 |
action_taken |
字符串 |
可选 |
由端点执行的操作 |
rule_name |
字符串 |
可选 |
规则名称 |
rule_id |
字符串 |
可选 |
规则 ID |
aggregate_count |
数字 |
可选 |
ESET PROTECT 服务器和管理 ESET Management 服务器代理之间的两个连续副本之间的端点生成了多少条完全相同的消息 |
handled |
字符串 |
可选 |
指出检测是否已处理 |
Audit_Event
ESET PROTECT 将服务器的内部审核日志消息转发到系统日志。特定属性如下所示:
domain |
字符串 |
可选 |
审核日志域 |
---|---|---|---|
action |
字符串 |
可选 |
正在发生的操作 |
target |
字符串 |
可选 |
目标操作正在执行于 |
detail |
字符串 |
可选 |
操作的详细说明 |
user |
字符串 |
可选 |
涉及的安全用户 |
result |
字符串 |
可选 |
操作的结果 |
FilteredWebsites_Event
ESET PROTECT 将过滤的网站(Web 防护检测)转发到系统日志。特定属性如下所示:
hostname |
字符串 |
可选 |
发生事件的计算机的主机名 |
processname |
字符串 |
可选 |
与事件关联的进程的名称 |
username |
字符串 |
可选 |
与事件关联的用户帐户的名称 |
hash |
字符串 |
可选 |
过滤的对象的 SHA1 哈希 |
event |
字符串 |
可选 |
事件类型 |
rule_id |
字符串 |
可选 |
规则 ID |
action_taken |
字符串 |
可选 |
已采取操作 |
scanner_id |
字符串 |
可选 |
扫描程序 ID |
object_uri |
字符串 |
可选 |
对象 URI |
target_address |
字符串 |
可选 |
事件目标地址 |
target_address_type |
字符串 |
可选 |
事件目标地址类型 25769803777 = IPv4; 25769803778 = IPv6) |
handled |
字符串 |
可选 |
指出检测是否已处理 |
EnterpriseInspectorAlert_Event
ESET PROTECT 将 ESET Inspect 警报转发到系统日志。特定属性如下所示:
processname |
字符串 |
可选 |
导致此警报的进程的名称 |
---|---|---|---|
username |
字符串 |
可选 |
进程所有者 |
rulename |
字符串 |
可选 |
触发此警报的规则的名称 |
count |
数字 |
可选 |
自上一次警报以来生成的此类型警报的数量 |
hash |
字符串 |
可选 |
警报的 SHA1 哈希 |
eiconsolelink |
字符串 |
可选 |
在 ESET Inspect 控制台中链接到警报 |
eialarmid |
字符串 |
可选 |
警报链接的 ID 子部分(^http.*/alarm/([0-9]+)$ 中的 $1) |
computer_severity_score |
数字 |
可选 |
计算机严重级别评分 |
severity_score |
数字 |
可选 |
规则严重级别评分 |
EnterpriseInspectorAlert_Event 日志示例:
BlockedFiles_Event
ESET PROTECT 将 ESET Inspect 阻止的文件转发到系统日志。特定属性如下所示:
hostname |
字符串 |
可选 |
发生事件的计算机的主机名 |
processname |
字符串 |
可选 |
与事件关联的进程的名称 |
username |
字符串 |
可选 |
与事件关联的用户帐户的名称 |
hash |
字符串 |
可选 |
阻止的文件的 SHA1 哈希 |
object_uri |
字符串 |
可选 |
对象 URI |
action |
字符串 |
可选 |
已采取操作 |
firstseen |
字符串 |
可选 |
在该计算机上首次发现检测的时间和日期(日期和时间格式)。 |
cause |
字符串 |
可选 |
|
description |
字符串 |
可选 |
阻止的文件的描述 |
handled |
字符串 |
可选 |
指出检测是否已处理 |